一、背景介绍
DirBuster用于发现web服务器上的目录和隐藏文件。 因为DirBuster是用java编写的,所以必须在运行之前安装java环境。 让我们来看看基本的使用方法。 :在:TargetURL下输入搜索网站的地址。 需要注意的是,在这个地址中添加协议,看看网站是http还是https。 ):WorkMethod是选择工作方法,一个是get请求,另一个是自动选择。 autoswitch的自动选择由自己判断是头方式还是get方式。 ):NumberofThread选择扫描线程数,通常为30。 电脑的配置可以根据情况进行选择。 ):selectscanningtype选择扫描类型。 listbasedbruteforce的意思是使用词典进行扫描,勾选。 然后,browse可以选择词典文件,使用自己的和dirbuster的。 ):selectstartingoptions选项之一是standardstartpoint (按固定标准的名称搜索),一个是urlfuzz,选择urlfuzz,然后在urltofuzz框中输入部署后,单击start开始。 虽然有时看不到开始按钮,但是如果将鼠标放在软件上并拖动大小,则会显示下面的界面。 DirBuster不仅可以暴力推测目录,还可以蜘蛛爬行。
二、资源装备
一台安装了Kali Linux的虚拟机
2 .一个准备就绪的小白。
三、战略部署
3.1 Dirbuster的路径如下图所示。
路径:/usr/share/dirbuster
3.2在Dirbuster目录中使用java命令打开Dirbuster工具,如下图所示。
命令: java -jar DirBuster-1.0-RC1.jar
3.3在任意路径中打开Dirbuster工具的方法如下图所示。
命令: dirbuster
3.4 Dirbuster工具的爆破词典的位置如下图所示。
爆破词典的位置:/usr/share/dirbuster/wordlists
点击3.5URLfuzz设定对应的变量后,如下图所示。
变量:/{dir}
3.6//dir}变量设定结束后,如下图所示选择标准开始点按钮。
3.7如下图所示开始扫描。
3.8如下图所示,扫描正在进行中。
确定可以访问3.9响应扫描的哪些网页。 参照下图。
响应代码: 1xx服务器接收客户端消息,但接收未完成。 等待一会儿,然后发送1xx状态代码(很少出现)。
2xx成功。 代表: 200 (成功)
3xx重定向。 代表: 302、304、访问缓存
4xx客户端错误。 代表: 404 (没有与请求路径对应的资源) 405 )没有与请求方式对应的doXX方法) )。
5xx服务结束错误。 代表: 500 (服务器内部发生异常) )
3.10扫描结果如下图所示。